Michal Ždanský Nhóm bảo mật tại Red Hat, công ty phát triển bản phân phối Linux cùng tên, đã phát hiện ra một lỗ hổng nghiêm trọng trong UNIX, hệ thống nền tảng cho cả Linux và OS X. Một lỗ hổng nghiêm trọng trong bộ xử lý bash về lý thuyết, nó cho phép kẻ tấn công có toàn quyền kiểm soát máy tính bị xâm nhập. Đây không phải là một lỗi mới, trái lại, nó đã tồn tại trong các hệ thống UNIX suốt 20 năm.
Bash là bộ xử lý shell thực thi các lệnh được nhập trong dòng lệnh, giao diện Terminal cơ bản trong OS X và tương đương trong Linux. Người dùng có thể nhập lệnh theo cách thủ công, nhưng một số ứng dụng cũng có thể sử dụng bộ xử lý. Cuộc tấn công không nhất thiết phải nhằm trực tiếp vào bash mà nhằm vào bất kỳ ứng dụng nào sử dụng nó. Theo các chuyên gia bảo mật, lỗi có tên Shellshock này nguy hiểm hơn Lỗi SSL thư viện Heartbleed, điều này đã ảnh hưởng nhiều đến Internet.
Theo Apple, người dùng sử dụng cài đặt hệ thống mặc định sẽ được an toàn. Công ty đã bình luận cho máy chủ iMore như sau:
Phần lớn người dùng OS X không gặp rủi ro từ lỗ hổng bash được phát hiện gần đây. Có một lỗi trong bash, bộ xử lý lệnh Unix và ngôn ngữ có trong OS X, có thể cho phép người dùng trái phép truy cập để điều khiển từ xa một hệ thống dễ bị tấn công. Hệ thống OS X được bảo mật theo mặc định và không dễ bị khai thác lỗi bash từ xa trừ khi người dùng đã định cấu hình các dịch vụ Unix nâng cao. Chúng tôi đang nỗ lực cung cấp bản cập nhật phần mềm cho người dùng Unix nâng cao càng sớm càng tốt.
Trên máy chủ Giao dịch cổ phiếu anh ấy đã xuất hiện hướng dẫn, cách người dùng có thể kiểm tra hệ thống của họ để tìm lỗ hổng và cách sửa lỗi theo cách thủ công thông qua thiết bị đầu cuối. Bạn cũng sẽ tìm thấy một cuộc thảo luận rộng rãi với bài viết.
Tác động của Shellshock về mặt lý thuyết là rất lớn. Bạn có thể tìm thấy Unix không chỉ trong OS X và trong các máy tính chạy một trong các bản phân phối Linux mà còn ở một số lượng đáng kể trên các máy chủ, thành phần mạng và các thiết bị điện tử khác.
Bài báo thú vị. Cảm ơn bạn về thông tin
Ai đó có thể viết ở đây khi Apple niêm phong nó? Lỗi đã được sửa rồi..
Android không có nhân Unix sao?
Giống như iOS.
Tuy nhiên, đây không phải là vấn đề của hạt nhân unix mà là của bash
Lỗi ngay ở tiêu đề. Không phải Unix bị lỗi mà là lỗi bash. Unix không nhất thiết phải có bash nên đó không phải lỗi của Unix.
Android là Linux với Dalvik JVM. Vậy kernel là Linux, bao gồm cả các tiện ích như Bash.
Nhưng vấn đề đó có phần bị thổi phồng. Về cơ bản, nó không ảnh hưởng gì đến OS X, nó chỉ nghiêm trọng đối với các máy chủ Linux sử dụng Bash để chạy các daemon như Apache, v.v.
Nhưng ngay cả điều này cũng khá bất thường, chẳng hạn như trên Debian và Ubuntu, Bash không được sử dụng theo mặc định cho các dịch vụ máy chủ mà là Dash và nó không bị ảnh hưởng.
Trên các bộ định tuyến khác nhau, các AP WiFI, v.v., điều đó rõ ràng là không thể xảy ra, bởi vì chúng có xu hướng sử dụng một phiên bản rút gọn của Linux mà Bash không phù hợp, thay vào đó sử dụng Busybox hoặc zsh, v.v...
Vì vậy, tôi nghĩ đó giống như một bong bóng truyền thông.
Dalvik không phải là JVM.
"Hạt nhân là Linux bao gồm các tiện ích" không có ý nghĩa gì.
Android thường không bao gồm bash hoặc các tiện ích GNU phổ biến khác.
Điều quan trọng nhất(!): Vấn đề không phải là Apache hay máy chủ khác có được khởi động bằng bash hay không, mà là bản thân bash có đang chạy hay không.
Đừng quá quan tâm đến Zsh, nó có nhiều khả năng được sử dụng mang tính tương tác hơn.
Nó không phải là một bong bóng.
Nhưng nếu không thì bạn hoàn toàn đúng.
Bản cập nhật đã hết